Se você ou sua empresa ainda não levam a sério a LGPD, está na hora de se adequar, para não ter que pagar multa depois. Apesar de estar valendo, as sanções só começam a ser aplicadas no ano que vem. 

Mas é bom ficar por dentro de tudo e como aplicar na prática. É isso que vou mostrar nesse artigo:

Em vigor desde 18 de setembro, a Lei Geral de Proteção de Dados sancionada pelo governo federal, determina que empresas e órgãos públicos terão que deixar muito claro para os usuários no Brasil de que forma será feita a coleta, armazenamento e o uso de dados pessoais, entre outros detalhes. 

Com algumas exceções, o titular dos dados terá o poder de consentir o seu uso ou não e também poderá solicitar a exclusão das informações se achar necessário. 

Se por algum motivo a lei for desrespeitada, as empresas serão advertidas e multadas. A aplicação de penalidade para quem desobedecer às novas regras foi adiada para agosto de 2021.

E a punição não é brincadeira: as multas podem chegar até 2% do faturamento de empresas, sob o limite de até R$ 50 milhões. 

A LGPD estabelece que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a lei deve ser cumprida. 

Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

Consentimento para uso de dados

Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. 

É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

Automatização com autorização

A lei traz ainda várias garantias. O usuário pode solicitar que seus dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. 

O tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados.

Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), a pessoa deve ser informada que pode intervir, pedindo revisão desse procedimento feito por máquinas.

ANPD e agentes de tratamento

Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

Mas não basta a ANPD – que está em formação. 

É por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: 

  • O controlador, que toma as decisões sobre o tratamento; 
  • O operador, que realiza o tratamento, em nome do controlador; 
  • O encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

Gestão em foco

Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. 

O que fazer na prática?

Além dos agentes de tratamento citados acima, outras ações devem ser planejadas pensando em como se adequar a LGPD. 

Auditoria de dados é fundamental

Os auditores de sua empresa ficarão responsáveis por examinar o sistema, analisando as configurações de guarda dos dados, históricos, logs de acessos e compartilhamentos efetuados.

A auditoria é importante para não deixar nada para trás servindo para verificar a segurança de dados do sistema quanto ao controle de acesso, backups e plano de recuperação, além de analisar o perfil dos dados armazenados quanto à sua qualidade, integração e tratamento.

Revise as políticas de segurança de dados

Para estar de acordo com a LGPD, é importante rever as políticas de segurança de dados da empresa, pois sempre existem ameaças de softwares mal-intencionados.

Fortalecer a segurança dos sistemas e orientar colaboradores sobre os procedimentos de segurança de dados a serem adotados, é uma ótima estratégia.

É recomendável redigir as políticas de segurança de dados da empresa contendo informações sobre as condições de instalação dos equipamentos, restrições de acesso, procedimentos adequados, controle, etc. e compartilhá-las com todas as pessoas da organização para maior engajamento na segurança da informação.

Revise os seus contratos

A revisão de contrato é um dos itens mais importantes da nova lei. É necessário adequar este documento para que ele atenda às normas de confidencialidade, transparência e liberdade dos usuários.

De acordo com a LGPD, o contrato deve deixar claro para quais finalidades os dados pessoais serão utilizados, assim como as informações sobre o tratamento de dados quanto à sua duração, uso compartilhado, identificação do controlador e responsabilidades dos agentes de tratamento.

É necessário lembrar que o documento deve prever a retirada e portabilidade dos dados para outros servidores, tal como está garantido pela lei.

Política de Privacidade

Você ainda não tem uma política de privacidade do seu negócio? Coloque no seu planejamento agora mesmo! 

Quanto mais transparente e adequada a LGPD for a sua empresa no uso de dados e informações de usuários, mais segurança terá para evitar futuros problemas. 

Criar uma política de privacidade não é algo tão complicado e tem muitas dicas na internet para você se inspirar e utilizar como referência. Se você já tem, procure atualizar de acordo com as novas exigências. 

Autorização para uso de cookies

Seu site já tem um pop-up ou banner que alerta sobre uso de cookies ao acessar os conteúdos das páginas? É outro item importante e que deve ser levado em consideração. 

Cookies são identificadores que podem ser gerados ou coletados a partir do navegador ou dispositivo que você usa, a fim de disponibilizar uma página para você acessar ou ainda identificar o seu perfil de navegação.

Facilite a saída

Evite dificuldades para o usuário ou lead cancelar uma assinatura, se descadastrar de uma lista de emails ou até mesmo parar de receber comunicações da sua empresa. Botões escondidos e nada intuitivos e processos inefetivos são práticas comuns para dificultar a saída de um Lead. Isso não deve mais acontecer.

Deixe bem claro para as pessoas que elas têm o direito de retirar seu consentimento a qualquer momento e como fazer isso. A partir da Lei Geral de Proteção de Dados, retirar o consentimento deve ser tão fácil quanto foi fornecê-lo.

Conclusão

Como você percebeu até aqui, além de dedicação de pessoal, é necessário também o esforço financeiro, que dado o cenário atual de pandemia, passou a ser um agravante para atingir o compliance com a Lei. 

Por isso estou batendo na tecla que você ou sua empresa devem iniciar o mais breve possível esse processo de adaptação. Entenda que o quanto antes a empresa iniciar o levantamento, mais cedo será capaz de iniciar ações que irão impactar positivamente para o aumento do nível de maturidade exigido.

Para fechar o assunto, há dois pontos importantes a serem ressaltados: 

  • A lei atinge empresas de todos os tamanhos, desde escritórios de advocacia, consultórios médicos, imobiliárias e profissionais autônomos de vários segmentos, até mesmo as repartições públicas. 
  • O fato das sanções por parte da ANPD só poderem ser aplicadas a partir de agosto de 2021, não vai impedir que haja aplicação de penalidades por outros órgãos, como o Ministério Público ou o Procon, com base no direito dos titulares, visto que a Lei estará em vigor.

Gostou desse artigo, tem alguma dúvida ou sugestão? Comente abaixo.

Nos vemos no próximo post! 

Deixe uma resposta

Seu endereço de e-mail não será publicado.